Malwarebytes fue atacado por el mismo grupo que hackeo SolarWinds.
La firma estadounidense de seguridad Malwarebytes dijo que también fue afectada por el mismo grupo que atacó la compañía SolarWinds a finales del año pasado. Malwarebytes dijo que su intrusión no está relacionada con el incidente de la cadena de suministro de SolarWinds, ya que la empresa no utiliza ningún software de SolarWinds en su red interna.
En cambio, la firma de seguridad dijo que los delincuentes violaron sus sistemas internos al explotar un producto de protección de correo electrónico inactivo dentro de Office 365.
Malwarebytes dijo que se enteró de la intrusión a través Centro de Respuesta de Seguridad de Microsoft (MSRC) el 14 de diciembre, que detectó actividad sospechosa proveniente de la aplicación de seguridad inactiva de Office 365. En ese momento, Microsoft estaba auditando sus infraestructuras de Office 365 y Azure en busca de señales de aplicaciones maliciosas creadas por los delincuentes informáticos de SolarWinds, también conocidos en los círculos de seguridad como UNC2452 o Dark Halo.
Malwarebytes dijo que una vez que se enteró de la violación, comenzó una investigación interna para determinar a qué accedieron los atacantes. “Después de una extensa investigación, determinamos que el atacante solo obtuvo acceso a un subconjunto limitado de correos electrónicos internos de la empresa”, dijo Marcin Kleczynski, co-fundador de Malwarebytes y actual CEO.
Dado que el mismo actor de amenazas violó SolarWinds y luego se movió para envenenar el software de la compañía insertando el malware Sunburst en algunas actualizaciones para la aplicación SolarWinds Orion, Kleczynski dijo que también realizaron una auditoria muy exhaustiva de todos sus productos y su código fuente, buscando cualquier signos de un compromiso similar o un ataque pasado a la cadena de suministro. “Nuestros sistemas internos no mostraron evidencia de acceso no autorizado o compromiso en ningún entorno local y de producción. Nuestro software sigue siendo seguro de usar”, agregó Kleczynski.
Después de la divulgación, Malwarebytes se convierte en el cuarto proveedor de seguridad principal al que apunta el actor de amenazas UNC2452 / Dark Halo, que funcionarios estadounidenses han vinculado a una operación de ciberespionaje del gobierno ruso. Entre las empresas a las que se dirigía anteriormente se incluyen FireEye, Microsoft, y CrowdStrike.
Accedieron a sus sistemas internos explotando un producto de protección de correo electrónico inactivo que había en su sistema de cuentas de Office 365.
Pero, ¿cómo llegaron a acceder a sus sistemas internos?
Si acceden a una empresa de seguridad, ¿qué podemos hacer nosotros contra ellos si les da por atacarnos?
Los atacantes aprovecharon una función de Microsoft Azure Active Directory (Azure AD) que permite asignar credenciales (permisos) a aplicaciones de terceros.
El proceso permite la asignación de acceso elevado o privilegiado, como la capacidad de leer correos electrónicos. El ataque abusó de este acceso privilegiado para obtener acceso a los correos electrónicos internos de Malwarebytes a través de una API diseñada para la integración de estos servicios.
Luego de ahi, no pudieron llegar mas lejos (escalando privilegios) dentro de la red interna - por lo que no se vieron afectados ni productos, ni servicios ni ninguna otra parte que seguramente seria la idea del ataque al final.
.
Y porque un Estado/Nación estaría interesado en atacarte a ti o a mi? eso es lo primero que deberías de preguntarte jeje… osea es algo de lo que no te tienes que preocupar, al menos no directamente.
Lo que quiero decir, es que estamos ante lo que seguramente se conocerá como uno de los ciberataques más graves de la historia…
SolarStorm es un ciberataque a los Estados Unidos, sus instituciones críticas, incluidas las empresas de seguridad como en este caso Malwarebytes, la misma Microsoft y el principal apuntado que fue FireEye,
FireEye - para quienes no la conocen, durante años, era el primer lugar de ciberseguridad al que acudían tanto agencias gubernamentales como empresas de todo el mundo y actualmente estaba centrada en proteger el sistema de elecciones presidenciales en Estados Unidos.
Es interesante,He estado leyendo esta tarde el articulo y un nuevo usuario del foro @BROOKLYN666 acaba de consultar en el foro sobre un tema que creo esta relacionado con las mejoras medidas de seguridad administración de sesión de usuario y de acceso relacionada con Office 365 y Azure
Como comenta Marcelo, es algo por lo que un usuario comun y corriente no deberia estar preocupado. La realidad es que son ataques con una gran sofisticacion y en el cual (En este caso particular) estan involucrados estados - naciones o APT (Advanced Persistent Threat), que invierten mucho tiempo y recursos para lograr estos objetivos.
Lo que podemos hacer nosotros es lograr tener mejor awareness o conciencia a la hora de navegar por internet, que enlaces abrimos, que archivos descargamos, que paginas visitamos, tenemos nuestros sistemas de casa parcheados?, tenemos nuestros dispositivos moviles parcheados y con las ultimas versiones? y para lograr esa conciencia existen bastantes recursos en internet. Uno de ellos es el Toolkit de conciencia del SANS Institute, lo puedes mirar por aca si te interesa:
eso es lo primero que deberías de preguntarte jeje… osea es algo de lo que no te tienes que preocupar, al menos no directamente.
que ataquen a grandes compañías, sobre todo de seguridad.
